KR102247621B1 - Network environment management system and method for detecting compromised switches and bypass attacks - Google Patents
Network environment management system and method for detecting compromised switches and bypass attacks Download PDFInfo
- Publication number
- KR102247621B1 KR102247621B1 KR1020190134898A KR20190134898A KR102247621B1 KR 102247621 B1 KR102247621 B1 KR 102247621B1 KR 1020190134898 A KR1020190134898 A KR 1020190134898A KR 20190134898 A KR20190134898 A KR 20190134898A KR 102247621 B1 KR102247621 B1 KR 102247621B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- network device
- information
- network
- key list
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/55—Prevention, detection or correction of errors
- H04L49/555—Error detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
Description
본 발명은 손상된 스위치와 우회 공격을 탐지하는 네트워크 환경 관리 시스템 및 방법에 관한 것으로, 보다 상세하게는, 스위치 장치 및 네트워크 장치를 통과하는 패킷의 상태로부터 스위치 장치 또는 네트워크 장치의 손상과 우회 공격을 탐지하는 시스템 및 방법에 관한 것이다.The present invention relates to a network environment management system and method for detecting damaged switches and bypass attacks, and more particularly, to detect damage and bypass attacks of a switch device or network device from the state of packets passing through the switch device and the network device. It relates to a system and method of doing.
SFC(Service Function Chaining)기술은 SDN(Software-Defined Network)과 NFV(Network Function Virtualization)과 상관 관계가 존재하는 기술로 이해할 수 있다. SFC는 로드 밸런싱, NAT 등의 순서가 정해진 네트워크 서비스 목록을 가상의 체인으로 정의하여, 기존의 네트워크 보다 유연하게 관리 가능한 기능을 제공하고 있다. 이러한 네트워크 서비스는 MiddleBox라고 불리는 네트워크 장치에 의해 제공된다. 일반적으로, 1개의 네트워크 장치는 스위치 장치와 연결되고 SFC는 각 스위치 장치들을 연결하여 체인 형태의 네트워크 서비스를 제공한다.Service Function Chaining (SFC) technology can be understood as a technology that has a correlation with Software-Defined Network (SDN) and Network Function Virtualization (NFV). SFC defines an ordered list of network services such as load balancing and NAT as a virtual chain, providing functions that can be managed more flexibly than existing networks. These network services are provided by a network device called MiddleBox. In general, one network device is connected to a switch device, and the SFC connects each switch device to provide a network service in the form of a chain.
그러나, SFC는 손상된 스위치 장치 또는, 네트워크 장치에 대한 우회 공격 등의 보안 공격에 취약점이 존재한다. 이와 관련하여, 기존에는 손상된 스위치 장치와 네트워크 장치에 대한 우회 공격을 개별적으로 해결할 수밖에 없었다. 이에 따라, 스위치 장치와 네트워크 장치에 발생하는 손상 또는 공격을 동시에 검출할 수 있는 방안이 필요한 실정이다.However, SFC has a vulnerability in security attacks such as a bypass attack on a compromised switch device or a network device. In this regard, in the past, it was inevitable to individually solve bypass attacks on damaged switch devices and network devices. Accordingly, there is a need for a method capable of simultaneously detecting damage or attack occurring in a switch device and a network device.
본 발명이 해결하고자 하는 기술적 과제는 스위치 장치 및 네트워크 장치를 통과하는 패킷의 상태로부터 스위치 장치 또는 네트워크 장치의 손상과 우회 공격을 탐지하는 시스템 및 방법을 제공하는 것이다.The technical problem to be solved by the present invention is to provide a system and method for detecting damage and bypass attacks of a switch device or a network device from a state of a packet passing through a switch device and a network device.
본 발명의 일측면은, 호스트로부터 패킷을 전달받는 스위치 장치; 상기 스위치 장치로부터 패킷을 전달받고, 상기 패킷을 나타내는 통계 정보를 생성하는 네트워크 장치; 및 상기 패킷의 경로를 설정하는 흐름 설정 정보에 따라 복수의 스위치 장치 중에서 패킷을 생성하는 호스트와 패킷을 전달받는 호스트를 연결하는 적어도 하나 이상의 스위치 장치를 선정하고, 상기 네트워크 장치로부터 전달받는 상기 패킷의 통계 정보에 따라 상기 스위치 장치 또는 상기 네트워크 장치 중 적어도 하나의 장치의 상태를 판단하는 제어 장치를 포함할 수 있다.One aspect of the present invention, a switch device for receiving a packet from a host; A network device that receives a packet from the switch device and generates statistical information representing the packet; And selecting at least one switch device connecting the host generating the packet and the host receiving the packet from among a plurality of switch devices according to the flow setting information for setting the path of the packet. It may include a control device that determines the state of at least one of the switch device or the network device according to the statistical information.
또한, 상기 네트워크 장치는, 스위치 장치로부터 상기 키 목록 정보를 이용하여 암호화된 패킷을 전달받고, 상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하고, 상기 암호화된 패킷이 프로브 패킷인 경우, 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증할 수 있다.In addition, the network device receives the encrypted packet from the switch device using the key list information, determines whether the type of the encrypted packet corresponds to a probe packet, and if the encrypted packet is a probe packet, another Integrity may be verified by decrypting an encrypted packet using the key list information of the network device set to be compatible with the key list information of the network device.
또한, 상기 네트워크 장치는, 상기 제어 장치로부터 키 목록 정보를 전달받고, 검증된 패킷을 상기 키 목록 정보로 암호화하고, 상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달할 수 있다.In addition, the network device may receive key list information from the control device, encrypt a verified packet with the key list information, and transmit the encrypted packet to the switch device using the key list information.
또한, 상기 네트워크 장치는, 상기 스위치 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달할 수 있다.In addition, when the network device fails to verify the encrypted packet transmitted from the switch device, the network device may transmit statistical information of the encrypted packet to the control device.
또한, 상기 제어 장치는, 사전에 설정되는 시간 주기 정보에 따라 상기 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신할 수 있다.In addition, the control device updates the key list information according to preset time period information, or when a notification occurs in at least one element of the switch or the network device, updates the key list information. can do.
또한, 상기 제어 장치는, 상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 서로 다른 네트워크 장치로부터 전달받고, 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하고, 상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는, 네트워크 환경 관리 시스템.In addition, the control device receives statistical information indicating information on packets passing through the network device from different network devices, compares a plurality of statistical information received from different network devices, and the plurality of statistical information When the ratio calculated by comparing them does not satisfy a preset threshold ratio, a notification is outputted, a network environment management system.
본 발명의 다른 일측면은, 스위치 장치, 네트워크 장치 및 제어 장치를 이용하는 네트워크 환경 관리 방법에 있어서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치를 선정하는 단계; 상기 스위치 장치에 연결되는 네트워크 장치가 키 목록 정보를 전달받는 단계; 상기 스위치 장치가 호스트로부터 패킷을 전달받는 단계; 네트워크 장치가 상기 스위치 장치로부터 패킷을 전달받고, 패킷의 유형을 판단하여, 상기 패킷의 유형에 따라 상기 패킷을 제어하는 단계; 및 상기 패킷의 상태에 따라 알림을 출력하는 단계를 포함할 수 있다.Another aspect of the present invention provides a method for managing a network environment using a switch device, a network device, and a control device, the method comprising: selecting a switch device according to flow setting information for setting a path of a packet; Receiving, by a network device connected to the switch device, key list information; Receiving, by the switch device, a packet from a host; Receiving, by a network device, a packet from the switch device, determining a packet type, and controlling the packet according to the packet type; And outputting a notification according to the state of the packet.
또한, 상기 패킷을 제어하는 단계는, 스위치 장치로부터 상기 키 목록 정보를 이용하여 암호화된 패킷을 전달받는 단계; 상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하는 단계; 및 상기 암호화된 패킷이 프로브 패킷인 경우, 상기 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증하는 단계를 더 포함할 수 있다.In addition, the controlling of the packet may include receiving an encrypted packet using the key list information from a switch device; Determining whether the type of the encrypted packet corresponds to a probe packet; And when the encrypted packet is a probe packet, verifying integrity by decrypting the encrypted packet using the key list information of the network device set to be compatible with the key list information of the other network device. have.
또한, 상기 패킷을 제어하는 단계는, 상기 스위치로부터 전달받는 패킷을 상기 키 목록 정보로 암호화하는 단계; 및 상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달하는 단계를 더 포함할 수 있다.In addition, the controlling of the packet may include encrypting a packet received from the switch with the key list information; And transmitting the packet encrypted using the key list information to the switch device.
또한, 상기 패킷을 제어하는 단계는, 다른 네트워크 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달하는 단계를 더 포함할 수 있다.In addition, the controlling of the packet may further include transmitting statistical information of the encrypted packet to the control device when it fails to verify the encrypted packet transmitted from another network device.
또한, 상기 키 목록 정보를 전달하는 단계는, 사전에 설정되는 시간 주기 정보에 따라 상기 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신할 수 있다.In addition, the transmitting of the key list information may include updating the key list information according to preset time period information, or when a notification occurs in at least one element of the switch or the network device, the Key list information can be updated.
또한, 상기 알림을 출력하는 단계는, 서로 다른 네트워크 장치로부터 상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 전달받는 단계; 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 단계; 및 상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 단계를 더 포함할 수 있다.In addition, the outputting of the notification may include receiving statistical information indicating information on packets passing through the network device from different network devices; Comparing a plurality of statistical information received from different network devices; And outputting a notification when a ratio calculated by comparing the plurality of statistical information does not satisfy a preset threshold ratio.
상술한 본 발명의 일측면에 따르면, 손상된 스위치와 우회 공격을 탐지하는 네트워크 환경 관리 시스템 및 방법을 제공함으로써, 스위치 장치 및 네트워크 장치를 통과하는 패킷의 상태로부터 스위치 장치 또는 네트워크 장치의 손상과 우회 공격을 탐지할 수 있다.According to an aspect of the present invention described above, by providing a network environment management system and method for detecting a damaged switch and a bypass attack, damage and bypass attack of the switch device or network device from the state of the packet passing through the switch device and the network device. Can be detected.
도1은 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 개략도이다.
도2는 도1의 스위치 장치를 나타내는 제어블록도이다.
도3은 도1의 네트워크 장치를 나타내는 제어블록도이다.
도4는 도1의 제어 장치를 나타내는 제어블록도이다.
도5는 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 제어블록도이다.
도6은 본 발명의 일 실시예에 따른 네트워크 환경 관리 방법의 순서도이다.
도7은 도6의 패킷을 제어하는 단계를 나타내는 순서도이다.
도8은 도6의 알림을 출력하는 단계의 세부 순서도이다.1 is a schematic diagram of a network environment management system according to an embodiment of the present invention.
Fig. 2 is a control block diagram showing the switch device of Fig. 1;
3 is a control block diagram illustrating the network device of FIG. 1.
4 is a control block diagram showing the control device of FIG. 1.
5 is a control block diagram of a network environment management system according to an embodiment of the present invention.
6 is a flowchart of a network environment management method according to an embodiment of the present invention.
Fig. 7 is a flow chart showing the steps of controlling the packet of Fig. 6;
8 is a detailed flowchart of the step of outputting a notification of FIG. 6.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The detailed description of the present invention described below refers to the accompanying drawings, which illustrate specific embodiments in which the present invention may be practiced. These embodiments are described in detail sufficient to enable a person skilled in the art to practice the present invention. It should be understood that the various embodiments of the present invention are different from each other, but need not be mutually exclusive. For example, specific shapes, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the present invention in connection with one embodiment. In addition, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the detailed description to be described below is not intended to be taken in a limiting sense, and the scope of the present invention, if appropriately described, is limited only by the appended claims, along with all ranges equivalent to those claimed by the claims. Like reference numerals in the drawings refer to the same or similar functions over several aspects.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.
도1은 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 개략도이다.1 is a schematic diagram of a network environment management system according to an embodiment of the present invention.
네트워크 환경 관리 시스템(100)은 스위치 장치(110), 네트워크 장치(120) 및 제어 장치(130)를 포함할 수 있다.The network
스위치 장치(110)는 호스트(140)로부터 패킷을 전달받을 수 있으며, 패킷이 전달되는 경로에 따라 선정되는 다른 스위치 장치(110)로 패킷을 전달할 수 있다.The
여기에서, 패킷이 전달되는 경로는 패킷을 생성하는 호스트(140)로부터 패킷을 전달받는 호스트(140)까지의 경로를 의미하며, 이러한 경로는 복수 개의 스위치 장치(110) 및 네트워크 장치(120)를 포함할 수 있고, 제어 장치(130)에 의해 설정되어 스위치 장치(110)에 경로가 전달될 수 있다.Here, the path through which the packet is transmitted refers to a path from the
이에 따라, 스위치 장치(110)는 제어 장치(130)에 의해 설정되는 경로에 존재하는 다른 스위치 장치(110) 또는 호스트(140)에 패킷을 전달할 수 있다.Accordingly, the
이와 관련하여, 스위치 장치(110)는 다른 스위치 장치(110) 또는 호스트(140)로부터 전달받은 패킷을 다른 호스트(140)에 전달할 수 있다.In this regard, the
이때, 스위치 장치(110)로부터 패킷이 전달되는 호스트(140)는 제어 장치(130)에 의해 패킷의 목적지로 설정되는 호스트(140)일 수 있다.In this case, the
한편, 스위치 장치(110)는 호스트(140) 또는 다른 스위치 장치(110)로부터 전달받은 패킷을 네트워크 장치(120)에 전달할 수 있다.Meanwhile, the
이에 따라, 네트워크 장치(120)는 패킷의 무결성을 검증하고, 암호화하여 스위치 장치(110)에 전달할 수 있다.Accordingly, the
스위치 장치(110)는 네트워크 장치(120)로부터 전달받는 패킷을 다른 스위치 장치(110) 또는 호스트(140)에 전달할 수 있다.The
네트워크 장치(120)는 스위치 장치(110)로부터 패킷을 전달받고, 패킷의 유형을 판단할 수 있으며, 여기에서, 패킷의 유형은 호스트(140)로부터 다른 호스트(140)로 정보를 전달하는 일반 패킷 또는 스위치 장치(110) 또는 네트워크 장치(120)의 환경을 판단하는 프로브 패킷을 포함할 수 있다.The
네트워크 장치(120)는 전달받은 패킷의 유형이 일반 패킷인 경우에, 전달받은 패킷을 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 패킷의 전달 경로 상에 존재하는 다른 스위치 장치(110)에 패킷을 전달할 수 있다.When the type of the transmitted packet is a general packet, the
네트워크 장치(120)는 전달받은 패킷의 유형이 프로브 패킷인 경우에, 전달받은 패킷을 제어 장치(130)로부터 전달받는 키 목록 정보를 이용하여 복호화하여 무결성을 검증할 수 있다.When the type of the transmitted packet is a probe packet, the
이와 관련하여, 네트워크 장치(120)는 스위치 장치(110)를 통해서 다른 네트워크 장치(120)에 전달하는 패킷을 암호화할 수 있으며, 이에 따라, 네트워크 장치(120)가 전달받는 패킷은 키 목록 정보에 의해 암호화되어 있는 패킷일 수 있다.In this regard, the
이때, 패킷을 암호화 또는 복호화하는 것은 해시 함수를 이용할 수 있으며, 이에 따라, 키 목록 정보는 패킷을 암호화 또는 복호화하는 해시 함수를 포함하는 정보일 수 있다.In this case, a hash function may be used to encrypt or decrypt the packet, and accordingly, the key list information may be information including a hash function for encrypting or decrypting the packet.
이때, 키 목록 정보는 직전 경로에 존재하는 스위치 장치(110)와 연결되는 네트워크 장치(120)에서 패킷을 암호화하는데 이용되는 키 목록 정보와 동일하거나, 해당 키 목록 정보에 의해 암호화된 패킷의 복호화가 가능하도록 생성될 수 있다.At this time, the key list information is the same as the key list information used to encrypt the packet in the
이를 위해, 키 목록 정보는 패킷을 암호화하는데 이용되는 암호화 키 및 암호화된 패킷을 복호화하는데 이용되는 복호화 키를 포함할 수 있다.To this end, the key list information may include an encryption key used to encrypt a packet and a decryption key used to decrypt the encrypted packet.
이러한 키 목록 정보는 제어 장치(130)가 네트워크 장치(120)에 키 목록 정보를 전달할 때, 직전 경로에 존재하는 네트워크 장치(120)의 키 목록 정보와 호환되는 키 목록 정보를 전달할 수 있으며, 여기에서, 키 목록 정보가 호환되는 것은 키 목록 정보의 암호화 키를 이용하여 암호화된 패킷에 대한 복호화 키를 다른 키 목록 정보가 포함하는 것을 의미할 수 있다.When the
한편, 네트워크 장치(120)는 제어 장치(130)에 의해 호스트(140)로부터 다른 호스트(140)까지의 패킷이 전달되는 경로가 선정된 직후에, 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)의 키 목록 정보와 호환되는 키 목록 정보를 전달받을 수도 있다.On the other hand, the
이러한 경우에, 각각의 네트워크 장치(120)는 제어 장치(130)로부터 암호화 키 및 해당 암호화 키로 암호화된 패킷을 복호화할 수 있는 복호화 키를 포함하는 키 목록 정보를 전달받을 수 있으며, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)가 전달받은 복호화 키를 전달받을 수 있다.In this case, each
이에 따라, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)에 의해 암호화된 패킷을 전달받고, 키 목록 정보를 이용하여 복호화하여, 패킷의 무결성을 검증할 수 있다.Accordingly, each
이때, 직전 경로에 존재하는 네트워크 장치(120)는 임의의 네트워크 장치(120)에 연결되어 있는 스위치 장치(110)에 패킷을 전달하는 스위치 장치(110)와 연결되는 네트워크 장치(120)를 의미할 수 있다.At this time, the
한편, 네트워크 장치(120)는 스위치 장치(110)로부터 전달받은 암호화된 패킷을 직전 경로에 존재하는 네트워크 장치(120)로부터 전달받은 복호화 키로 복호화하는데 실패하는 경우에, 복호화에 실패한 패킷의 통계 정보를 제어 장치(130)에 전달할 수 있으며, 이러한 경우에, 네트워크 장치(120)는 오류가 발생한 것을 알리는 알림을 출력할 수 있다.On the other hand, when the
여기에서, 패킷의 통계 정보는 네트워크 장치(120)에서 송신하는 패킷의 개수, 스위치 장치(110)로부터 수신되는 패킷의 개수, 네트워크 장치(120)에서 분류되는 패킷 유형, 패킷의 크기 처리 시간, 네트워크 장치(120)에 대한 패킷의 도착 시간, 스위치 장치(110)로 패킷을 전송하는 전송 시간, 네트워크 장치(120)에서의 알림 발생 여부 등의 정보를 포함할 수 있다.Here, the statistical information of the packet is the number of packets transmitted from the
이에 따라, 제어 장치(130)는 스위치 장치(110) 간에 패킷 송수신 도중에 삭제되는 패킷의 개수 등을 계산하여 통계 정보에 포함시킬 수 있다.Accordingly, the
이와 관련하여, 제어 장치(130)는 서로 다른 네트워크 장치(120)로부터 통계 정보를 전달받고, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.In this regard, the
또한, 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 검출할 수 있다.In addition, the number of packets transmitted from a plurality of
여기에서, 임계 비율은 서로 다른 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수의 차이 비율을 의미하며, 예를 들어, 임계 비율은 5%로 설정될 수 있으며, 이러한 경우에, 임의의 네트워크 장치(120)에서 송신하는 패킷의 개수가 100이고, 해당 네트워크 장치(120)의 직후 경로에 존재하는 네트워크 장치(120)에서 수신하는 패킷의 개수가 94인 경우에, 송신하는 패킷의 개수와 수신하는 패킷의 개수의 차이 비율이 6%이므로, 임계 비율로 설정된 5%를 초과하여, 직후 경로에 존재하는 네트워크 장치(120)가 손상된 네트워크 장치(120)로 검출될 수 있다.Here, the threshold ratio means the difference ratio between the number of packets transmitted from
한편, 이러한 임계 비율은 패킷의 감소에 따른 임계 비율 및 패킷의 증가에 따른 임계 비율이 각각 설정될 수 있으며, 임계 비율은 송신하는 패킷의 개수와 수신하는 패킷의 개수의 비율을 나타내도록 설정될 수도 있다.Meanwhile, the threshold ratio may be set to indicate a ratio of the number of packets to be transmitted and the number of packets to be received. have.
이와 관련하여, 제어 장치(130)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에 고장, 손상, 공격 등이 발생한 것으로 판단되는 경우에, 해당 장치에 문제가 발생한 것을 알리도록 알림을 출력할 수 있다.In this regard, when it is determined that a failure, damage, attack, etc. has occurred in at least one of the
여기에서, 스위치 장치(110), 네트워크 장치(120) 및 제어 장치(130)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.Here, the notifications output from the
한편, 제어 장치(130)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정할 수 있다.Meanwhile, the
여기에서, 흐름 설정 정보는 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정하도록 설정될 수 있으며, 흐름 설정 정보는 복수의 호스트(140) 사이에 존재하는 스위치 장치(110)에 걸리는 부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정할 수도 있다.Here, the flow setting information may be set to select the smallest number of
부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정하는 것은 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정하되, 선정된 스위치 장치(110) 중에서 부하가 일정 크기를 넘는 경우에, 해당 스위치 장치(110)를 우회하여 복수의 호스트(140)를 연결하도록 선정되는 것일 수 있다.Selecting the
한편, 제어 장치(130)는 복수의 호스트(140)를 연결하도록 생성되는 흐름 설정 정보를 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 흐름 설정 정보에 따라 패킷을 전달할 다른 스위치 장치(110) 또는 호스트(140)를 선정할 수 있다.Meanwhile, the
제어 장치(130)는 패킷의 경로로 선정되는 스위치 장치(110)에 연결되는 네트워크 장치(120)에 키 목록 정보를 전달할 수 있다.The
이때, 제어 장치(130)는 각각의 네트워크 장치(120)에 암호화 키를 전달할 수 있으며, 제어 장치(130)는 각각의 네트워크 장치(120)에 인접하는 네트워크 장치(120)의 암호화 키로 암호화되는 정보를 복호화할 수 있는 복호화 키를 각각의 네트워크 장치(120)에 전달할 수 있다.At this time, the
여기에서, 각각의 네트워크 장치(120)에 인접하는 네트워크 장치(120)는 각각의 네트워크 장치(120)에 연결되는 스위치 장치(110)에 대해, 직전 경로에 존재하는 스위치 장치(110)에 연결되는 네트워크 장치(120)를 의미할 수 있다.Here, the
한편, 제어 장치(130)는 네트워크 장치(120)에 암호화 키 및 해당 암호화 키로 암호화된 정보를 복호화할 수 있는 복호화 키를 포함하는 키 목록 정보를 전달할 수도 있다.Meanwhile, the
이러한 경우에, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)가 전달받은 복호화 키를 전달받을 수 있다.In this case, each
한편, 제어 장치(130)는 일정한 시간 간격을 나타내는 시간 주기 정보에 따라 네트워크 장치(120)에 새로운 키 목록 정보를 전달하여, 네트워크 장치(120)에 전달된 키 목록 정보를 갱신할 수 있다.Meanwhile, the
이러한 경우에, 네트워크 장치(120)는 이전에 전달받은 키 목록 정보를 제거하고, 새로운 키 목록 정보를 전달받을 수 있다.In this case, the
또한, 제어 장치(130)는 인접하는 네트워크 장치(120) 간에는 키 목록 정보가 호환되도록 생성할 수 있으며, 제어 장치(130)는 동일한 경로 상에 존재하는 네트워크 장치(120)에 대해, 동일한 키 목록 정보를 생성하여 전달할 수도 있다.In addition, the
또한, 제어 장치(130)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에서 알림이 발생하는 경우에, 네트워크 장치(120)에 새로운 키 목록 정보를 전달하여, 네트워크 장치(120)에 전달된 키 목록 정보를 갱신할 수 있다.In addition, when a notification occurs in at least one of the
도2는 도1의 스위치 장치를 나타내는 제어블록도이다.Fig. 2 is a control block diagram showing the switch device of Fig. 1;
스위치 장치(110)는 스위치 통신부(111) 및 경로 제어부(112)를 포함할 수 있다.The
스위치 통신부(111)는 호스트(140)로부터 패킷을 전달받을 수 있으며, 패킷이 전달되는 경로에 따라 제어 장치(130)로부터 선정되는 다른 스위치 장치(110)로 패킷을 전달할 수 있다.The
또한, 스위치 통신부(111)는 다른 스위치 장치(110)로부터 패킷을 전달받고, 스위치 장치(110)에 연결되는 네트워크 장치(120)에 전달할 수 있으며, 스위치 통신부(111)는 네트워크 장치(120)로부터 패킷을 전달받고, 제어 장치(130)에 의해 선정되는 경로 상의 다른 스위치 장치(110) 또는 호스트(140)에 패킷을 전달할 수 있다.In addition, the
한편, 스위치 통신부(111)는 제어 장치(130)로부터 패킷의 경로를 나타내는 흐름 설정 정보를 전달받을 수 있다.Meanwhile, the
경로 제어부(112)는 스위치 통신부(111)에서 전달받은 흐름 설정 정보에 따라 스위치 통신부(111)에서 패킷을 전달하는 다른 스위치 장치(110) 또는 호스트(140)를 설정할 수 있다.The path control
다시 말해서, 경로 제어부(112)는 다른 스위치 장치(110) 또는 네트워크 장치(120)로부터 전달받은 패킷을 전달할 다른 스위치 장치(110) 또는 호스트(140)를 제어 장치(130)로부터 전달받은 흐름 설정 정보에 따라 선택할 수 있다.In other words, the
도3은 도1의 네트워크 장치를 나타내는 제어블록도이다.3 is a control block diagram illustrating the network device of FIG. 1.
네트워크 장치(120)는 네트워크 통신부(121), 분류부(122), 암호부(123) 및 네트워크 출력부(124)를 포함할 수 있다.The
네트워크 통신부(121)는 스위치 장치(110)로부터 암호화되어 있는 패킷을 전달받을 수 있으며, 네트워크 통신부(121)는 스위치 장치(110)에 암호화된 패킷을 전달할 수 있다.The
네트워크 통신부(121)는 제어 장치(130)로부터 키 목록 정보를 전달받을 수 있으며, 네트워크 통신부(121)는 제어 장치(130)에 네트워크 장치(120)를 거치는 패킷의 정보를 나타내는 통계 정보를 전달할 수 있다.The
분류부(122)는 스위치 장치(110)로부터 전달받는 패킷이 프로브 패킷에 해당되는지 판단할 수 있다.The
이를 위해, 패킷의 헤더에는 해당 패킷이 프로브 패킷에 해당되는지 판단할 수 있는 정보가 포함될 수 있다.To this end, the header of the packet may include information for determining whether the corresponding packet corresponds to a probe packet.
분류부(122)는 스위치 장치(110)로부터 전달받는 패킷이 프로브 패킷에 해당되지 않는 경우에, 해당 패킷을 네트워크 통신부(121)에 전달하여 스위치 장치(110)에 전달되도록 할 수 있다.When a packet received from the
암호부(123)는 분류부(122)에서 프로브 패킷을 판단한 경우에, 해당 패킷을 키 목록 정보를 이용하여 복호화할 수 있다.When the
이때, 네트워크 통신부(121)는 암호부(123)에서 프로브 패킷의 복호화에 실패한 경우에, 해당 패킷을 제거하고, 제어 장치(130)에 통계 정보를 전달할 수 있으며, 네트워크 출력부(124)는 복호화에 실패한 경우에, 복호화 실패를 알리는 알림을 출력할 수 있다.At this time, when the
여기에서, 네트워크 출력부(124)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.Here, the notification output from the
암호부(123)는 키 목록 정보를 이용하여 패킷을 복호화한 경우에, 해당 패킷에 대해, 무결성을 검증하고, 해당 패킷을 키 목록 정보의 암호화 키를 이용하여 암호화할 수 있다.When the packet is decrypted using the key list information, the
이에 따라, 네트워크 통신부(121)는 암호화된 패킷을 스위치 장치(110)에 전달할 수 있다.Accordingly, the
여기에서, 패킷의 무결성을 검증하는 것은, 패킷 내부에 구비되는 무결성 검증을 위한 정보의 상태를 확인하고, 해당 정보에 대한 무결성 조건에 따라 패킷의 무결성을 검증하는 것일 수 있다.Here, verifying the integrity of the packet may include checking a state of information for verifying integrity provided inside the packet, and verifying the integrity of the packet according to an integrity condition for the corresponding information.
또한, 패킷의 무결성을 검증하는 것은 동일한 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받고, 네트워크 통신부(121)에서 전달받은 패킷을 복호화하고, 다시 암호화하는 경우에, 전달받은 패킷의 정보와 새롭게 암호화된 패킷의 정보가 동일한 경우에, 무결성이 검증된 것일 수도 있으며, 이러한 경우에, 패킷의 경로 상에 존재하는 서로 다른 네트워크 장치(120)는 제어 장치(130)로부터 동일한 키 목록 정보를 전달받을 수도 있다. In addition, to verify the integrity of the packet, when receiving key list information including the same encryption key and a decryption key for the corresponding encryption key, decrypting the packet received from the
도4는 도1의 제어 장치를 나타내는 제어블록도이다.4 is a control block diagram showing the control device of FIG. 1.
제어 장치(130)는 제어 통신부(131), 경로 선정부(132), 암호 생성부(133), 통계 제어부(134) 및 제어 출력부(135)를 포함할 수 있다.The
제어 통신부(131)는 스위치 장치(110)에 제어 흐름 정보를 전달할 수 있다.The
제어 통신부(131)는 네트워크 장치(120)에 키 목록 정보를 전달할 수 있으며, 제어 통신부(131)는 네트워크 장치(120)로부터 통계 정보를 전달받을 수 있다.The
경로 선정부(132)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정할 수 있다.The
여기에서, 흐름 설정 정보는 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정하도록 설정될 수 있으며, 흐름 설정 정보는 복수의 호스트(140) 사이에 존재하는 스위치 장치(110)에 걸리는 부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정할 수도 있다.Here, the flow setting information may be set to select the smallest number of
암호 생성부(133)는 네트워크 장치(120)에서 이용되는 키 목록 정보를 생성할 수 있다.The
이때, 키 목록 정보는 인접하는 네트워크 장치(120) 간에는 키 목록 정보가 호환되도록 생성될 수 있으며, 암호 생성부(133)는 동일한 경로 상에 존재하는 네트워크 장치(120)에 대해, 동일한 키 목록 정보를 생성할 수도 있다.At this time, the key list information may be generated so that the key list information is compatible between
한편, 암호 생성부(133)는 일정한 시간 간격을 나타내는 시간 주기 정보에 따라 새로운 키 목록 정보를 생성하여, 제어 통신부(131)를 통해 네트워크 장치(120)에 전달할 수 있다.Meanwhile, the
또한, 암호 생성부(133)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에서 알림이 발생하는 경우에 새로운 키 목록 정보를 생성할 수도 있다.In addition, the
통계 제어부(134)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.The
통계 제어부(134)는 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 검출할 수 있다.The
제어 출력부(135)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에 고장, 손상, 공격 등이 발생한 것으로 판단되는 경우에, 해당 장치에 문제가 발생한 것을 알리도록 알림을 출력할 수 있다.When it is determined that at least one of the
여기에서, 제어 출력부(135)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.Here, the notification output from the
도5는 본 발명의 일 실시예에 따른 네트워크 환경 관리 시스템의 제어블록도이다.5 is a control block diagram of a network environment management system according to an embodiment of the present invention.
도5를 참조하면, 제어 장치(130)의 경로 선정부(132)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정하여, 해당 스위치 장치(110)에 흐름 설정 정보를 제어 통신부(131)를 통해 전달하는 것을 확인할 수 있다.Referring to FIG. 5, the
또한, 암호 생성부(133)는 경로 선정부(132)에 의해 생성된 패킷의 경로 내에 존재하는 네트워크 장치(120)에 키 목록 정보를 전달하는 것을 확인할 수 있다.In addition, it can be seen that the
이때, 암호 생성부(133)는 일정한 시간 간격을 나타내는 시간 주기 정보에 따라 새로운 키 목록 정보를 생성하여, 제어 통신부(131)를 통해 네트워크 장치(120)에 전달할 수 있다.In this case, the
한편, 통계 제어부(134)는 네트워크 장치(120)로부터 통계 정보를 전달받는 것을 확인할 수 있으며, 이에 따라, 통계 제어부(134)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.On the other hand, the
또한, 통계 제어부(134)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 검출할 수 있다.In addition, the
한편, 암호 생성부(133)는 통계 제어부(134)에 의해 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치에서 오류가 발생한 것으로 판단되는 경우에 새로운 키 목록 정보를 생성하여 네트워크 장치(120)에 전달할 수 있으며, 암호 생성부(133)는 스위치 장치(110) 또는 네트워크 장치(120)에서 알림이 발생한 것을 검출하는 경우에도 키 목록 정보를 갱신할 수 있다.Meanwhile, the
도6은 본 발명의 일 실시예에 따른 네트워크 환경 관리 방법의 순서도이다.6 is a flowchart of a network environment management method according to an embodiment of the present invention.
본 발명의 일 실시예에 따른 네트워크 환경 관리 방법은 도 1에 도시된 네트워크 환경 관리 시스템(100)과 실질적으로 동일한 구성 상에서 진행되므로, 도 1의 네트워크 환경 관리 시스템(100)과 동일한 구성요소에 대해 동일한 도면 부호를 부여하고, 반복되는 설명은 생략하기로 한다.Since the network environment management method according to an embodiment of the present invention proceeds on substantially the same configuration as the network
네트워크 환경 관리 방법은 스위치 장치를 선정하는 단계(600), 키 목록 정보를 전달받는 단계(610), 패킷을 전달받는 단계(620), 패킷을 제어하는 단계(630) 및 알림을 출력하는 단계(640)를 포함할 수 있다.The network environment management method includes selecting a switch device (600), receiving key list information (610), receiving a packet (620), controlling a packet (630), and outputting a notification ( 640).
스위치 장치를 선정하는 단계(600)는 패킷을 생성하는 호스트(140) 및 패킷을 전달받는 호스트(140) 사이에서, 패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치(110)를 선정할 수 있다.In the
여기에서, 스위치 장치를 선정하는 단계(600)는 복수의 호스트(140)를 연결하는 가장 적은 개수의 스위치 장치(110)를 선정할 수 있으며, 스위치 장치를 선정하는 단계(600)는 복수의 호스트(140) 사이에 존재하는 스위치 장치(110)에 걸리는 부하가 일정 크기를 넘지 않도록 스위치 장치(110)를 선정할 수도 있다.Here, in the
이에 따라, 스위치 장치를 선정하는 단계(600)는 복수의 호스트(140)를 연결하도록 생성되는 흐름 설정 정보를 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 흐름 설정 정보에 따라 패킷을 전달할 다른 스위치 장치(110) 또는 호스트(140)를 선정할 수 있다.Accordingly, in the
키 목록 정보를 전달받는 단계(610)는 패킷의 경로로 선정되는 스위치 장치(110)에 연결되는 네트워크 장치(120)가 키 목록 정보를 제어 장치(130)로부터 전달받을 수 있다.In
이때, 키 목록 정보를 전달받는 단계(610)는 제어 장치(130)로부터 각각의 네트워크 장치(120)가 암호화 키를 전달받을 수 있으며, 키 목록 정보를 전달받는 단계(610)는 각각의 네트워크 장치(120)에 인접하는 네트워크 장치(120)의 암호화 키에 대한 복호화 키를 각각의 네트워크 장치(120)가 전달받을 수 있다.At this time, in the
한편, 키 목록 정보를 전달받는 단계(610)는 제어 장치(130)로부터 네트워크 장치(120)가 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받을 수도 있으며, 이러한 경우에, 각각의 네트워크 장치(120)는 직전 경로에 존재하는 네트워크 장치(120)로부터 해당 네트워크 장치(120)가 전달받은 복호화 키를 전달받을 수 있다.Meanwhile, in the
또한, 키 목록 정보를 전달받는 단계(610)는 동일한 경로 상에 존재하는 네트워크 장치(120)에 대해, 동일한 키 목록 정보를 전달받을 수도 있다.In addition, in the
패킷을 전달받는 단계(620)는 스위치 장치(110)가 호스트(140) 또는 다른 스위치 장치(110)로부터 패킷을 전달받을 수 있다.In
패킷을 제어하는 단계(630)는 스위치 장치(110)로부터 네트워크 장치(120)가 패킷을 전달받을 수 있다.In
이때, 패킷을 제어하는 단계(630)에서 전달받는 패킷은 다른 네트워크 장치(120)의 키 목록 정보에 의해 암호화된 패킷일 수 있다.In this case, the packet transmitted in the step of controlling the
패킷을 제어하는 단계(630)는 스위치 장치(110)로부터 전달받은 패킷의 유형을 판단할 수 있으며, 패킷을 제어하는 단계(630)는 전달받은 패킷의 유형이 일반 패킷인 경우에, 전달받은 패킷을 스위치 장치(110)에 전달할 수 있으며, 이에 따라, 스위치 장치(110)는 패킷의 전달 경로 상에 존재하는 다른 스위치 장치(110)에 패킷을 전달할 수 있다.In the step of controlling the
패킷을 제어하는 단계(630)는 전달받은 패킷의 유형이 프로브 패킷인 경우에, 전달받은 패킷을 제어 장치(130)로부터 전달받는 키 목록 정보를 이용하여 복호화하여 무결성을 검증할 수 있다.In the
이때, 패킷을 제어하는 단계(630)는 다른 네트워크 장치(120)의 키 목록 정보와 호환되도록 설정되는 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증할 수 있다.In this case, the step of controlling the
여기에서, 패킷의 무결성을 검증하는 것은, 패킷 내부에 구비되는 무결성 검증을 위한 정보의 상태를 확인하고, 해당 정보에 대한 무결성 조건에 따라 패킷의 무결성을 검증하는 것일 수 있다.Here, verifying the integrity of the packet may include checking a state of information for verifying integrity provided inside the packet, and verifying the integrity of the packet according to an integrity condition for the corresponding information.
또한, 패킷의 무결성을 검증하는 것은 동일한 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받고, 네트워크 통신부(121)에서 전달받은 패킷을 복호화하고, 다시 암호화하는 경우에, 전달받은 패킷의 정보와 새롭게 암호화된 패킷의 정보가 동일한 경우에, 무결성이 검증된 것일 수도 있으며, 이러한 경우에, 패킷의 경로 상에 존재하는 서로 다른 네트워크 장치(120)는 제어 장치(130)로부터 동일한 키 목록 정보를 전달받을 수도 있다. In addition, to verify the integrity of the packet, when receiving key list information including the same encryption key and a decryption key for the corresponding encryption key, decrypting the packet received from the
패킷을 제어하는 단계(630)는 무결성이 검증된 패킷을 키 목록 정보의 암호화 키를 이용하여 암호화할 수 있다.In
이에 따라, 패킷을 제어하는 단계(630)는 암호화된 패킷을 스위치 장치(110)에 전달하여, 다른 네트워크 장치에 전달되도록 할 수 있다.Accordingly, in the
한편, 패킷을 제어하는 단계(630)는 프로브 패킷의 복호화에 실패한 경우에, 해당 패킷을 제거하고, 제어 장치(130)에 통계 정보를 전달할 수 있다.Meanwhile, in the
이때, 알림을 출력하는 단계(640)는 패킷의 상태에 따라 알림을 출력할 수 있다.In this case, the
이때, 알림을 출력하는 단계(640)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.At this time, the notification output in
도7은 도6의 패킷을 제어하는 단계를 나타내는 순서도이다.Fig. 7 is a flow chart showing the steps of controlling the packet of Fig. 6;
패킷을 제어하는 단계(630)는 암호화된 패킷을 전달받는 단계(631), 프로브 패킷에 해당되는지 판단하는 단계(632), 무결성을 검증하는 단계(633), 키 목록 정보로 암호화하는 단계(634), 스위치 장치에 전달하는 단계(635) 및 통계 정보를 전달하는 단계(636)를 더 포함할 수 있다.The step of controlling the
암호화된 패킷을 전달받는 단계(631)는 스위치 장치(110)로부터 네트워크 장치(120)가 패킷을 전달받을 수 있으며, 이때, 암호화된 패킷을 전달받는 단계(631)에서 전달받는 패킷은 다른 네트워크 장치(120)의 키 목록 정보에 의해 암호화된 패킷일 수 있다.In the
프로브 패킷에 해당되는지 판단하는 단계(632)는 스위치 장치(110)로부터 전달받은 패킷의 유형을 판단할 수 있으며, 전달받은 패킷의 유형이 일반 패킷인 경우에, 전달받은 패킷을 스위치 장치(110)에 전달할 수 있고, 프로브 패킷에 해당되는지 판단하는 단계(632)는 전달받은 패킷의 유형이 프로브 패킷인 경우에, 전달받은 패킷을 제어 장치(130)로부터 전달받는 키 목록 정보를 이용하여 복호화할 수 있다.In
무결성을 검증하는 단계(633)는 다른 네트워크 장치(120)의 키 목록 정보와 호환되도록 설정되는 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증할 수 있다.In the
이때, 무결성을 검증하는 단계(633)는 패킷의 무결성을 검증하는데 실패한 경우에, 통계 정보를 전달하는 단계(636)로 진행될 수 있으며, 무결성을 검증하는 단계(633)는 패킷의 무결성이 검증된 경우에, 키 목록 정보로 암호화하는 단계(634)로 진행될 수 있다.In this case, the
여기에서, 패킷의 무결성을 검증하는 것은, 패킷 내부에 구비되는 무결성 검증을 위한 정보의 상태를 확인하고, 해당 정보에 대한 무결성 조건에 따라 패킷의 무결성을 검증하는 것일 수 있다.Here, verifying the integrity of the packet may include checking a state of information for verifying integrity provided inside the packet, and verifying the integrity of the packet according to an integrity condition for the corresponding information.
또한, 패킷의 무결성을 검증하는 것은 동일한 암호화 키 및 해당 암호화 키에 대한 복호화 키를 포함하는 키 목록 정보를 전달받고, 네트워크 통신부(121)에서 전달받은 패킷을 복호화하고, 다시 암호화하는 경우에, 전달받은 패킷의 정보와 새롭게 암호화된 패킷의 정보가 동일한 경우에, 무결성이 검증된 것일 수도 있으며, 이러한 경우에, 패킷의 경로 상에 존재하는 서로 다른 네트워크 장치(120)는 제어 장치(130)로부터 동일한 키 목록 정보를 전달받을 수도 있다. In addition, to verify the integrity of the packet, when receiving key list information including the same encryption key and a decryption key for the corresponding encryption key, decrypting the packet received from the
키 목록 정보로 암호화하는 단계(634)는 무결성이 검증된 패킷을 키 목록 정보의 암호화 키를 이용하여 암호화할 수 있다.In the
스위치 장치에 전달하는 단계(635)는 암호화된 패킷을 스위치 장치(110)에 전달하여, 다른 네트워크 장치에 전달되도록 할 수 있다.In the
한편, 통계 정보를 전달하는 단계(636)는 프로브 패킷의 복호화에 실패한 경우에, 해당 패킷을 제거하고, 제어 장치(130)에 통계 정보를 전달할 수 있다.Meanwhile, in the
도8은 도6의 알림을 출력하는 단계의 세부 순서도이다.8 is a detailed flowchart of the step of outputting the notification of FIG. 6.
알림을 출력하는 단계(640)는 통계 정보를 전달받는 단계(641), 통계 정보를 비교하는 단계(642) 및 알림을 출력하는 단계(640)를 더 포함할 수 있다.The step of outputting the
통계 정보를 전달받는 단계(641)는 서로 다른 네트워크 장치(120)로부터 각각의 네트워크 장치(120)를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 전달받을 수 있다.In the
통계 정보를 비교하는 단계(642)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 호스트(140) 간의 송수신 중에 특정 스위치 장치(110)에서 삭제되는 패킷의 개수를 파악하여 손상된 스위치 장치(110)를 검출할 수 있다.In the
또한, 통계 정보를 비교하는 단계(642)는 서로 다른 네트워크 장치(120)로부터 전달받은 통계 정보로부터, 패킷의 전달 경로 내에서 인접하는 복수 개의 네트워크 장치(120)에서 송신하는 패킷의 개수와 수신하는 패킷의 개수를 비교하여, 임계 비율을 만족하지 않는 경우에, 해당 네트워크 장치(120)가 외부로부터 공격을 받거나, 손상된 것을 판단할 수 있다.In addition, the
알림을 출력하는 단계(643)는 스위치 장치(110) 또는 네트워크 장치(120) 중 적어도 하나의 장치가 공격을 받거나, 손상된 것으로 판단된 경우에 알림을 출력할 수 있다.In the
이때, 알림을 출력하는 단계(643)에서 출력되는 알림은 소리 알림, 불빛 알림, 진동 알림 등을 포함할 수 있으며, 알림이 출력되는 상황을 나타내는 패턴 정보에 따라 사전에 설정되는 문장, 그림 등의 시각적 알림이 출력되도록 설정될 수도 있다.At this time, the notification output in the
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to embodiments, those skilled in the art will understand that various modifications and changes can be made to the present invention without departing from the spirit and scope of the present invention described in the following claims. I will be able to.
100: 네트워크 환경 관리 시스템
110: 스위치 장치
120: 네트워크 장치
130: 제어 장치
140: 호스트100: network environment management system
110: switch device
120: network device
130: control device
140: host
Claims (12)
상기 스위치 장치로부터 패킷을 전달받고, 상기 패킷을 나타내는 통계 정보를 생성하는 네트워크 장치; 및
상기 패킷의 경로를 설정하는 흐름 설정 정보에 따라 복수의 스위치 장치 중에서 패킷을 생성하는 호스트와 패킷을 전달받는 호스트를 연결하는 적어도 하나 이상의 스위치 장치를 선정하고, 상기 네트워크 장치로부터 전달받는 상기 패킷의 통계 정보에 따라 상기 스위치 장치 또는 상기 네트워크 장치 중 적어도 하나의 장치의 상태를 판단하는 제어 장치를 포함하고,
상기 제어 장치는,
상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 서로 다른 네트워크 장치로부터 전달받고,
서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하고,
상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하며,
상기 통계 정보는 상기 네트워크 장치에서 송신하는 패킷의 개수와 상기 네트워크 장치에서 수신하는 패킷의 개수를 포함하고,
상기 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 것은, 상기 흐름 설정 정보에 따라 상기 패킷을 생성하는 호스트와 상기 패킷을 전달받는 호스트를 연결하는 경로로 나타나는 패킷의 전달 경로에 대해, 상기 패킷의 전달 경로 내의 임의의 네트워크 장치에서 송신하는 패킷의 개수와 상기 임의의 네트워크 장치의 직후 경로에 존재하는 네트워크 장치에서 수신하는 패킷의 개수를 비교하여 차이 비율을 산출하고, 상기 차이 비율과 사전에 설정되는 임계 비율을 비교하는 것이고,
상기 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 것은, 상기 차이 비율이 사전에 설정되는 임계 비율을 초과하는 경우, 상기 네트워크 장치에 문제가 발생한 것을 알리도록 알림을 출력하는 것인, 네트워크 환경 관리 시스템.
A switch device receiving a packet from a host;
A network device that receives a packet from the switch device and generates statistical information representing the packet; And
At least one switch device connecting the host generating the packet and the host receiving the packet is selected from among a plurality of switch devices according to the flow setting information for setting the path of the packet, and statistics of the packet received from the network device And a control device for determining a state of at least one of the switch device or the network device according to information,
The control device,
Receive statistical information representing information on packets passing through the network device from different network devices,
Compare a plurality of statistical information received from different network devices,
When the ratio calculated by comparing the plurality of statistical information does not satisfy a preset threshold ratio, a notification is output,
The statistical information includes the number of packets transmitted by the network device and the number of packets received by the network device,
Comparing a plurality of statistical information transmitted from different network devices may include, for a transmission path of a packet represented by a path connecting a host generating the packet and a host receiving the packet according to the flow setting information, the The difference ratio is calculated by comparing the number of packets transmitted by an arbitrary network device in the forwarding path of the packet with the number of packets received by the network device existing in the path immediately after the arbitrary network device, and the difference ratio is calculated in advance. Is to compare the set threshold ratio,
When the ratio does not satisfy a preset threshold ratio, outputting a notification may include outputting a notification to notify that a problem has occurred in the network device when the difference ratio exceeds a preset threshold ratio. That, the network environment management system.
상기 제어 장치로부터 전달받는 키 목록 정보를 이용하여 암호화된 패킷을 스위치 장치로부터 전달받고,
상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하고,
상기 암호화된 패킷이 프로브 패킷인 경우, 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증하는, 네트워크 환경 관리 시스템.
The method of claim 1, wherein the network device,
Receiving the encrypted packet from the switch device using the key list information transmitted from the control device,
Determine whether the type of the encrypted packet corresponds to a probe packet,
When the encrypted packet is a probe packet, the network environment management system verifies integrity by decrypting the encrypted packet using the key list information of the network device set to be compatible with the key list information of another network device.
상기 제어 장치로부터 키 목록 정보를 전달받고,
검증된 패킷을 상기 키 목록 정보로 암호화하고,
상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달하는, 네트워크 환경 관리 시스템.
The method of claim 2, wherein the network device,
Receive key list information from the control device,
Encrypt the verified packet with the key list information,
A network environment management system for delivering an encrypted packet to the switch device using the key list information.
상기 스위치 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달하는, 네트워크 환경 관리 시스템.
The method of claim 2, wherein the network device,
When it fails to verify the encrypted packet transmitted from the switch device, transmitting the statistical information of the encrypted packet to the control device, the network environment management system.
사전에 설정되는 시간 주기 정보에 따라 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신하는, 네트워크 환경 관리 시스템.
The method of claim 1, wherein the control device,
The key list information is updated according to preset time period information, or when a notification occurs in at least one element of the switch or the network device, the key list information is updated.
패킷의 경로를 설정하는 흐름 설정 정보에 따라 스위치 장치를 선정하는 단계;
상기 스위치 장치에 연결되는 네트워크 장치가 키 목록 정보를 전달받는 단계;
상기 스위치 장치가 호스트로부터 패킷을 전달받는 단계;
네트워크 장치가 상기 스위치 장치로부터 패킷을 전달받고, 패킷의 유형을 판단하여, 상기 패킷의 유형에 따라 상기 패킷을 제어하는 단계; 및
상기 패킷의 상태에 따라 알림을 출력하는 단계를 포함하고,
상기 알림을 출력하는 단계는,
서로 다른 네트워크 장치로부터 상기 네트워크 장치를 통과하는 패킷에 대한 정보를 나타내는 통계 정보를 전달받는 단계;
서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 단계; 및
상기 복수의 통계 정보를 비교하여 계산되는 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 단계를 포함하고,
상기 통계 정보는 상기 네트워크 장치에서 송신하는 패킷의 개수와 상기 네트워크 장치에서 수신하는 패킷의 개수를 포함하며,
상기 서로 다른 네트워크 장치로부터 전달받은 복수의 통계 정보를 비교하는 단계는, 상기 흐름 설정 정보에 따라 상기 패킷을 생성하는 호스트와 상기 패킷을 전달받는 호스트를 연결하는 경로로 나타나는 패킷의 전달 경로에 대해, 상기 패킷의 전달 경로 내의 임의의 네트워크 장치에서 송신하는 패킷의 개수와 상기 임의의 네트워크 장치의 직후 경로에 존재하는 네트워크 장치에서 수신하는 패킷의 개수를 비교하여 차이 비율을 산출하고, 상기 차이 비율과 사전에 설정되는 임계 비율을 비교하고,
상기 비율이 사전에 설정되는 임계 비율을 만족하지 않는 경우, 알림을 출력하는 단계는, 상기 차이 비율이 사전에 설정되는 임계 비율을 초과하는 경우, 상기 네트워크 장치에 문제가 발생한 것을 알리도록 알림을 출력하는, 네트워크 환경 관리 방법.
In the network environment management method using a switch device, a network device and a control device,
Selecting a switch device according to flow setting information for setting a packet path;
Receiving, by a network device connected to the switch device, key list information;
Receiving, by the switch device, a packet from a host;
Receiving, by a network device, a packet from the switch device, determining a packet type, and controlling the packet according to the packet type; And
Including the step of outputting a notification according to the state of the packet,
The step of outputting the notification,
Receiving statistical information indicating information on packets passing through the network device from different network devices;
Comparing a plurality of statistical information received from different network devices; And
Comprising the step of outputting a notification when the ratio calculated by comparing the plurality of statistical information does not satisfy a preset threshold ratio,
The statistical information includes the number of packets transmitted by the network device and the number of packets received by the network device,
Comparing the plurality of statistical information transmitted from different network devices may include, for a transmission path of a packet represented by a path connecting a host generating the packet and a host receiving the packet according to the flow setting information, The difference ratio is calculated by comparing the number of packets transmitted by a network device in the forwarding path of the packet with the number of packets received by a network device existing in the path immediately after the network device, and calculating the difference ratio Compare the threshold ratio set in
When the ratio does not satisfy a preset threshold ratio, the step of outputting a notification includes, when the difference ratio exceeds a preset threshold ratio, a notification is output to notify that a problem has occurred in the network device. How to manage the network environment.
스위치 장치로부터 상기 키 목록 정보를 이용하여 암호화된 패킷을 전달받는 단계;
상기 암호화된 패킷의 유형이 프로브 패킷에 해당되는지 판단하는 단계; 및
상기 암호화된 패킷이 프로브 패킷인 경우, 다른 네트워크 장치의 키 목록 정보와 호환되도록 설정되는 상기 네트워크 장치의 키 목록 정보를 이용하여 암호화된 패킷을 복호화하여 무결성을 검증하는 단계를 더 포함하는, 네트워크 환경 관리 방법.
The method of claim 7, wherein controlling the packet comprises:
Receiving an encrypted packet using the key list information from a switch device;
Determining whether the type of the encrypted packet corresponds to a probe packet; And
If the encrypted packet is a probe packet, further comprising the step of verifying integrity by decrypting the encrypted packet using the key list information of the network device set to be compatible with the key list information of another network device Management method.
상기 스위치로부터 전달받는 패킷을 상기 키 목록 정보로 암호화하는 단계; 및
상기 키 목록 정보를 이용하여 암호화된 패킷을 상기 스위치 장치에 전달하는 단계를 더 포함하는, 네트워크 환경 관리 방법.
The method of claim 8, wherein controlling the packet comprises:
Encrypting the packet received from the switch with the key list information; And
Further comprising the step of transmitting the encrypted packet to the switch device by using the key list information.
다른 네트워크 장치로부터 전달받은 암호화된 패킷을 검증하는데 실패한 경우, 상기 제어 장치에 상기 암호화된 패킷의 통계 정보를 전달하는 단계를 더 포함하는, 네트워크 환경 관리 방법.
The method of claim 8, wherein controlling the packet comprises:
If it fails to verify the encrypted packet transmitted from another network device, the method further comprising the step of transmitting the statistical information of the encrypted packet to the control device, network environment management method.
사전에 설정되는 시간 주기 정보에 따라 상기 키 목록 정보를 갱신하거나, 또는, 상기 스위치 또는 상기 네트워크 장치 중 적어도 하나의 요소에서 알림이 발생하는 경우, 상기 키 목록 정보를 갱신하는, 네트워크 환경 관리 방법.
The method of claim 7, wherein the transferring of the key list information comprises:
Updating the key list information according to preset time period information, or updating the key list information when a notification occurs in at least one element of the switch or the network device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190134898A KR102247621B1 (en) | 2019-10-28 | 2019-10-28 | Network environment management system and method for detecting compromised switches and bypass attacks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190134898A KR102247621B1 (en) | 2019-10-28 | 2019-10-28 | Network environment management system and method for detecting compromised switches and bypass attacks |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102247621B1 true KR102247621B1 (en) | 2021-04-30 |
Family
ID=75740848
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190134898A KR102247621B1 (en) | 2019-10-28 | 2019-10-28 | Network environment management system and method for detecting compromised switches and bypass attacks |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102247621B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030053419A1 (en) * | 2001-08-22 | 2003-03-20 | Toshiyuki Kanazawa | Packet communication quality measurement method and system |
KR20070111603A (en) * | 2006-05-18 | 2007-11-22 | 이상규 | Security system for client and server |
JP2014171088A (en) * | 2013-03-04 | 2014-09-18 | Ntt Comware Corp | Network monitoring device, service provision system, network monitoring method, and network monitoring program |
-
2019
- 2019-10-28 KR KR1020190134898A patent/KR102247621B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030053419A1 (en) * | 2001-08-22 | 2003-03-20 | Toshiyuki Kanazawa | Packet communication quality measurement method and system |
KR20070111603A (en) * | 2006-05-18 | 2007-11-22 | 이상규 | Security system for client and server |
JP2014171088A (en) * | 2013-03-04 | 2014-09-18 | Ntt Comware Corp | Network monitoring device, service provision system, network monitoring method, and network monitoring program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101300806B (en) | System and method for processing secure transmissions | |
JP5936618B2 (en) | Quantum key distribution | |
US7308715B2 (en) | Protocol-parsing state machine and method of using same | |
US8631134B2 (en) | Network architecture for secure data communications | |
JP6129523B2 (en) | Communication apparatus and program | |
JP2017506846A (en) | System and method for securing source routing using digital signatures based on public keys | |
US11108562B2 (en) | Systems and methods for verifying a route taken by a communication | |
US20110119487A1 (en) | System and method for encryption rekeying | |
JP6841324B2 (en) | Communication equipment, systems, methods and programs | |
US10560286B2 (en) | Gateway device and control method for the same | |
CN104935593A (en) | Data message transmitting method and device | |
US10586065B2 (en) | Method for secure data management in a computer network | |
CN105409157A (en) | Adaptive traffic encryption for optical networks | |
CN110048986B (en) | Method and device for ensuring ring network protocol operation safety | |
US7302704B1 (en) | Excising compromised routers from an ad-hoc network | |
US20200336523A1 (en) | Apparatus for monitoring multicast group | |
JP2007039166A (en) | Remote monitoring system for elevator | |
US20180314857A1 (en) | Information Processing Device and Malicious Message Detection Method | |
US8429393B1 (en) | Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern | |
US9762388B2 (en) | Symmetric secret key protection | |
KR101040543B1 (en) | Detection system and detecting method for the cryptographic data in SSH | |
KR102247621B1 (en) | Network environment management system and method for detecting compromised switches and bypass attacks | |
US20170063789A1 (en) | OptiArmor Secure Separation Device | |
US9614720B2 (en) | Notification technique for network reconfiguration | |
US10171430B2 (en) | Making a secure connection over insecure lines more secure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |